Експлоатација ПХП рањивости ЦВЕ-2024-4577 изазива велике малвер и ДДоС нападе

У забрињавајућем развоју, више актера сајбер претњи активно користи недавно откривену безбедносну рањивост у ПХП-у, означену као ЦВЕ-2024-4577 . Ова критична грешка, са оценом ЦВСС од 9,8, омогућава нападачима да даљински извршавају злонамерне команде на Виндовс системима који користе кинеске и јапанске језике. Рањивост, која је јавно откривена почетком јуна 2024, довела је до значајног повећања дистрибуције малвера и ДДоС напада.

Акамаи истраживачи Кајл Лефтон, Ален Вест и Сем Тинкленберг објаснили су у својој анализи да ЦВЕ-2024-4577 дозвољава нападачима да заобиђу командну линију и директно тумаче аргументе у ПХП-у због проблема са конверзијом Уницоде-а у АСЦИИ. Ову грешку су нападачи брзо искористили, о чему сведоче и хонеипот сервери који су открили покушаје експлоатације у року од 24 сата од јавног откривања рањивости.

Ови покушаји експлоатације укључују испоруку разних злонамерних корисних података, као што је тројанац за даљински приступ Гх0ст РАТ, рудари криптовалута као што су РедТаил и КСМРиг, и Мухстик ДДоС ботнет. Нападачи су примећени како користе меку цртицу да би извршили вгет захтев за схелл скрипту, која затим преузима и инсталира РедТаил малвер за крипто рударење са ИП адресе у Русији.

Уз забринутост, Имперва је прошлог месеца известила да исту рањивост користе актери који дистрибуирају .НЕТ варијанту ТеллИоуТхеПасс рансомваре-а . Ово наглашава широко прихватање експлоатације од стране различитих група сајбер-криминалаца.

Организацијама које користе ПХП препоручујемо да ажурирају своје инсталације на најновију верзију како би се заштитиле од ових активних претњи. Брза експлоатација ове рањивости наглашава да заштитници прозора који се смањују морају да делују након откривања нове рањивости.

У сродним вестима, Цлоудфларе је пријавио пораст ДДоС напада од 20% у другом кварталу 2024. у поређењу са истим периодом прошле године. Компанија је ублажила 8,5 милиона ДДоС напада само у првој половини 2024. Док је укупан број ДДоС напада у К2 смањен за 11% у односу на претходни квартал, повећање у односу на исти период прошле године и даље представља значајну забринутост.

Половина свих ХТТП ДДоС напада током овог периода приписана је познатим ДДоС ботнетима, са другим векторима напада укључујући лажне корисничке агенте, претраживаче без главе, сумњиве ХТТП атрибуте и генеричке поплаве. Земље које су највише циљале биле су Кина, Турска и Сингапур, док су примарне жртве били ИТ и сектори услуга, телекомуникација и робе широке потрошње.

Аргентина се појавила као највећи извор ДДоС напада у К2 2024, а следе Индонезија и Холандија. Овај развојни пејзаж претњи наглашава потребу за снажним и ажурираним безбедносним мерама за заштиту од све веће софистицираности и учесталости сајбер напада.